From owner-p4-projects@FreeBSD.ORG Fri Jan 15 18:25:44 2010 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id B36C1106568D; Fri, 15 Jan 2010 18:25:44 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 76DA6106566C for ; Fri, 15 Jan 2010 18:25:44 +0000 (UTC) (envelope-from rene@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id 63F518FC18 for ; Fri, 15 Jan 2010 18:25:44 +0000 (UTC) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.3/8.14.3) with ESMTP id o0FIPin6001308 for ; Fri, 15 Jan 2010 18:25:44 GMT (envelope-from rene@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.3/8.14.3/Submit) id o0FIPiEh001306 for perforce@freebsd.org; Fri, 15 Jan 2010 18:25:44 GMT (envelope-from rene@FreeBSD.org) Date: Fri, 15 Jan 2010 18:25:44 GMT Message-Id: <201001151825.o0FIPiEh001306@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to rene@FreeBSD.org using -f From: Rene Ladan To: Perforce Change Reviews Precedence: bulk Cc: Subject: PERFORCE change 173190 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 15 Jan 2010 18:25:44 -0000 http://p4web.freebsd.org/chv.cgi?CH=173190 Change 173190 by rene@rene_self on 2010/01/15 18:25:26 MFen: * handbook/security 1.334 -> 1.335 * handbook/advanced-networking 1.425 -> 1.426 Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/advanced-networking/chapter.sgml#41 edit .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml#12 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/advanced-networking/chapter.sgml#41 (text+ko) ==== @@ -4,7 +4,7 @@ $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/advanced-networking/chapter.sgml,v 1.17 2009/09/09 21:55:35 rene Exp $ %SOURCE% en_US.ISO8859-1/books/handbook/advanced-networking/chapter.sgml - %SRCID% 1.425 + %SRCID% 1.426 --> @@ -2216,6 +2216,27 @@ + Zowel de bekabelde als de draadloze verbinding gebruiken + + Een bekabelde verbinding biedt betere prestaties en betrouwbaarheid, + terwijl een draadloze verbinding meer flexibiliteit en mobiliteit + biedt; laptop-gebruikers zullen dit willen combineren en naadloos tussen + de twee overschakelen. + + In &os; is het mogelijk om twee of meer netwerkinterfaces te + combineren in een failover-opstelling, dit houdt in dat + de meest geprefereerde en best beschikbare verbinding van een groep van + netwerkinterfaces wordt gebruikt, en het besturingssysteem automatisch + te laten overschakelen wanneer de status van de verbinding + verandert. + + Link-aggregatie en failover worden behandeld in , een voorbeeld voor het gebruik van + zowel een bekabelde als een draadloze verbinding wordt gegeven in + . + + + Problemen verhelpen Indien er problemen met het draadloos netwerk zijn, zijn er @@ -3689,6 +3710,88 @@ Indien de verbinding op de meesterinterface hersteld is, zal het weer de actieve verbinding worden. + + + Failover-modus tussen bekabelde en draadloze interfaces + + Voor laptop-gebruikers is het normaliter wenselijk om het + draadloze interface als secundair interface te gebruiken indien het + bekabelde interface niet beschikbaar is. Met &man.lagg.4; is het + mogelijk om één IP-adres te gebruiken en het bekabelde + interface voor zowel prestatie als veiligheid te prefereren terwijl de + mogelijkheid behouden blijft om de draadloze verbinding te + gebruiken. + + In deze opstelling dient het MAC-adres van het onderliggende + draadloze interface overschreven te worden om met dat van &man.lagg.4; + overeen te komen, welke afkomstig is van het primaire interface dat + wordt gebruikt, het bekabelde interface. + + In deze opstelling wordt het bekabelde interface, + bge0 als meester gebruikt, en het draadloze + interface, wlan0, als het + failover-interface. wlan0 was aangemaakt + vanuit iwn0 voor welke het + MAC-adres van de bekabelde verbinding zal worden + gebruikt. De eerste stap is om het MAC-adres van + het bekabelde interface te verkrijgen: + + &prompt.root; ifconfig bge0 +bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 + options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4> + ether 00:21:70:da:ae:37 + inet6 fe80::221:70ff:feda:ae37%bge0 prefixlen 64 scopeid 0x2 + nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL> + media: Ethernet autoselect (1000baseT <full-duplex>) + status: active + + bge0 kan vervangen worden door het + eigenlijke interface, er zal een andere regel met + ether verschijnen, dit is het + MAC-adres van het bekabelde interface. Om het + onderliggende draadloze interface, iwn0 te + wijzigen: + + &prompt.root; ifconfig iwn0 ether 00:21:70:da:ae:37 + + Activeer het draadloze interface maar geef er nog geen IP-adres + aan: + + &prompt.root; ifconfig create wlan0 wlandev iwn0 ssid mijn_router up + + Maak het &man.lagg.4;-interface aan met + bge0 als meester, en met failover naar + wlan0 indien nodig: + + &prompt.root; ifconfig lagg0 create +&prompt.root; ifconfig lagg0 up laggproto failover laggport bge0 laggport wlan0 + + Het interface zal er ongeveer als volgt uitzien, de grootste + verschillen zullen het MAC-adres en de + apparaatnamen zijn: + + &prompt.root; ifconfig lagg0 +lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 + options=8<VLAN_MTU> + ether 00:21:70:da:ae:37 + media: Ethernet autoselect + status: active + laggproto failover + laggport: wlan0 flags=0<> + laggport: bge0 flags=5<MASTER,ACTIVE> + + Om dit niet telkens bij het opstarten te hoeven doen, kan zoiets + als het volgende aan /etc/rc.conf worden + toegevoegd: + + ifconfig_bge0="up" +ifconfig_iwn0="ether 00:21:70:da:ae:37" +wlans_iwn0="wlan0" +ifconfig_wlan0="WPA" +cloned_interfaces="lagg0" +ifconfig_lagg0="laggproto failover laggport bge0 laggport wlan0 DHCP" + + ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml#12 (text+ko) ==== @@ -2,10 +2,9 @@ The FreeBSD Dutch Documentation Project $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml,v 1.17 2009/01/28 20:45:24 rene Exp $ - $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml,v 1.80 2006/01/05 21:13:24 siebrand Exp $ %SOURCE% en_US.ISO8859-1/books/handbook/security/chapter.sgml - %SRCID% 1.334 + %SRCID% 1.335 --> @@ -566,11 +565,12 @@ De andere grote mogelijkheid voor root gaten in een systeem zijn de suid-root en sgid-binaire bestanden die geïnstalleerd zijn op een systeem. Veel van - die bestanden, zoals rlogin, staan - in /bin, /sbin, - /usr/bin of - /usr/sbin. Hoewel het niet 100% veilig - is, mag aangenomen worden dat de suid- en sgid-binaire bestanden + die bestanden, zoals rlogin, staan in + /bin, + /sbin, + /usr/bin of + /usr/sbin. Hoewel het niet 100% + veilig is, mag aangenomen worden dat de suid- en sgid-binaire bestanden van een standaardsysteem redelijk veilig zijn. Toch worden er nog wel eens root gaten gevonden in deze bestanden. Zo is er in 1998 een root gat @@ -738,9 +738,9 @@ het systeem op een hoger veiligheidsniveau te draaien maar het aanzetten van de vlag schg voor elk systeembestand en -map onder de zon over te slaan. Een andere - mogelijkheid is om / en - /usr simpelweg als alleen-lezen aan te - koppelen. Het dient opgemerkt te worden dat het te draconisch + mogelijkheid is om / en + /usr simpelweg als alleen-lezen + aan te koppelen. Het dient opgemerkt te worden dat het te draconisch zijn over wat is toegestaan het belangrijke detecteren van een inbraak kan verhinderen. @@ -753,9 +753,9 @@ maar tot een bepaald punt beveiligd worden zonder dat het minder prettig werken wordt. Zo werk het zetten van de schg bit met chflags op - de meeste bestanden in / en - /usr waarschijnlijk averechts, omdat, - hoewel de bestanden beschermd zijn, ook het venster waarin + de meeste bestanden in / en + /usr waarschijnlijk averechts, + omdat, hoewel de bestanden beschermd zijn, ook het venster waarin detectie plaats kan vinden is gesloten. De laatste laag van beveiliging is waarschijnlijk de meest belangrijke: detectie. Alle overige beveiliging is vrijwel waardeloos (of nog erger: @@ -798,15 +798,15 @@ als &man.find.1; en &man.md5.1;. We adviseren minstens één keer per dag een md5 te maken van alle bestanden op de cliëntmachine en van instellingenbestanden - als in /etc en - /usr/local/etc zelfs vaker. Als er - verschillen worden aangetroffen ten opzichte van de basis md5 + als in /etc en + /usr/local/etc zelfs vaker. + Als er verschillen worden aangetroffen ten opzichte van de basis md5 informatie op het systeem met beperkte toegang, dan hoort het script te gillen om een beheerder die het moet gaan uitzoeken. Een goed beveiligingsscript controleert ook op onverwachte suid-bestanden en op nieuwe en verwijderde bestanden op - systeempartities als / en - /usr. + systeempartities als / en + /usr. Als ssh in plaats van NFS wordt gebruikt, dan is het schrijven van het script lastiger. Dan @@ -1780,7 +1780,8 @@ Dit hoeft alleen op de Kerberos gedaan te worden. Er dienen geen oude Kerberos databases rond te slingeren. - Controleer in de map /etc/kerberosIV of de + Controleer in de map /etc/kerberosIV of de volgende bestanden aanwezig zijn: &prompt.root; cd /etc/kerberosIV @@ -1960,8 +1961,8 @@ definiëren geëxtraheerd worden. Dat kan met het commando ext_srvtab. Dit commando maakt een bestand aan dat veilig gekopieerd moet - worden naar de map /etc van iedere - Kerberos-cliënt. Dit bestand moet aanwezig zijn op iedere + worden naar de map /etc van + iedere Kerberos-cliënt. Dit bestand moet aanwezig zijn op iedere server en op iedere cliënt en is van doorslaggevend belang voor de werking van Kerberos. @@ -1985,8 +1986,8 @@ client-new-srvtab dan naar een verwijderbaar medium gekopieerd worden en dan fysiek veilig getransporteerd worden. Op de cliënt dient - het bestand srvtab te heten in de map - /etc en in modus 600 te staan: + het bestand srvtab te heten in de map /etc en in modus 600 te staan: &prompt.root; mv grumble-new-srvtab srvtab &prompt.root; chmod 600 srvtab @@ -2037,7 +2038,7 @@ gemaakt, dan gebeurt dit automatisch na een herstart. Dit hoeft alleen ingesteld te worden op de Kerberos server. Kerberos cliënten vinden automatisch wat ze zoeken in de - map /etc/kerberosIV. + map /etc/kerberosIV. &prompt.root; kerberos & Kerberos server starting @@ -2893,7 +2894,7 @@ url="http://web.mit.edu/Kerberos/www/">) te volgen. Wees voorzichtig met paden: de MIT-port installeert standaard in - /usr/local/ en dus kunnen de + /usr/local/ en dus kunnen de normale systeemapplicaties gestart worden in plaats van die van MIT als de PATH omgevingsvariabele de systeemmappen als @@ -2962,8 +2963,8 @@ In een meergebruikersomgeving is Kerberos minder veilig. Dit komt doordat de tickets worden opgeslagen in de map - /tmp, waar gelezen kan worden door - alle gebruikers. Als een gebruiker een computer deelt met + /tmp, waar gelezen kan worden + door alle gebruikers. Als een gebruiker een computer deelt met andere gebruikers op hetzelfde moment (dus multi-user), dan is het mogelijk dat een ticket van een gebruiker wordt gestolen (gekopieerd) door een andere gebruiker. @@ -3967,7 +3968,8 @@ Het instellingenbestand dat voor het hele systeem geldt voor zowel de OpenSSH daemon als - cliënt staat in de map /etc/ssh. + cliënt staat in de map /etc/ssh. ssh_config bevat de instellingen voor de cliënt en sshd_config bevat ze voor @@ -4414,10 +4416,11 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html Hierboven is te zien dat mappen - directory1, directory2 - en directory3 allemaal gebruik maken van - ACLs. De map public_html - doet dat niet. + directory1, + directory2 en + directory3 allemaal gebruik maken + van ACLs. De map public_html doet dat niet. Gebruik maken van <acronym>ACL</acronym>s @@ -4684,8 +4687,8 @@ uitgaven van &os; door deze kwetsbaarheid worden getroffen. Voor de kernel kan snel gekeken worden naar de uitvoer van ident voor de betreffende bestanden om - te bepalen welke revisie ze hebben. Voor ports is het - versienummer te zien in /var/db/pkg. + te bepalen welke revisie ze hebben. Voor ports is het versienummer + te zien in /var/db/pkg. Als het systeem niet gelijk op loopt met het &os; CVS depot en dagelijks herbouwd wordt, dan is de kans groot dat het systeem kwetsbaar is.